¿Cómo puedo determinar si un archivo o archivo ejecutable tiene un keylogger incluido?

9

Hace poco me crearon un programa y realmente no pensé en que el ejecutable representara una amenaza ya que confío bastante en la fuente, pero no del todo.

Luego pensé en el hecho de que un keylogger, o cualquier tipo de software espía o malicioso podría haberse vinculado a él. Esto me hizo preguntarme sobre todas las otras cosas que descargo diariamente de lugares o personas (torrents) en las que no pienso dos veces.

  • ¿Cómo puede alguien saber si ha habido algún tipo de keylogger? ¿Está vinculado al software que está ejecutando u otras cosas vinculadas?

  • ¿Cuáles son algunas buenas maneras de descubrir y detener estas cosas?

ᔕᖺᘎᕊ
fuente

Respuestas:

4

Algunas maneras,

  1. Detección basada en firmas .
    Una buena y actualizada suite antivirus (sí, sé que "buena" se debatirá)
    ayudará a rastrear la mayoría del malware antes de que comience a interactuar con su sistema
  2. Detección basada en anomalías .
    Un seguimiento de la comunicación saliente desde aplicaciones individuales.
    (esto también lo hace la mayoría del software AV / AS)
    ayudará a identificar las "llamadas nodrizas" inesperadas de las aplicaciones.
    Tenga en cuenta que no me refiero al análisis de la comunicación. Me refiero a que los intentos de comunicación sean aplicaciones que no se espera que lo hagan (por ejemplo, aplicaciones de edición). El análisis de la comunicación (por ejemplo, desde una aplicación de chat que descargó) también podría realizarse, pero sería un problema bastante complejo.

Citaré un ejemplo personal de un buen caso de detección de malware.
Una de las suites estándar de AV / AS en una de mis máquinas Windows estaba activa cuando,
Intenté abrir un archivo HTML de 'muestra' (y código malicioso) desde uno de nuestros servidores de trabajo.
Inmediatamente fue atrapado por la suite.
Entonces, probé un Cygwin scp búsqueda del mismo archivo HTML ahora renombrado como TXT en el servidor.
La suite no dejó que el scp aterrizar en mi disco host. Fue eliminado tan pronto como fue recuperado.
La detección se basó en firmas actualizadas recientemente para un nuevo 'ataque basado en script'.

nik
fuente
1

Puedes subir el archivo ejecutable a VirusTotal.com. VirusTotal analizará el archivo utilizando unos 40 motores diferentes.

Algunos software de Firewall le informarán cuando una aplicación intente hacer contacto externo y le dará la oportunidad de rechazar la solicitud. ZoneAlarm es gratis y tiene esta característica. Hacen que sea un poco difícil encontrar la versión gratuita en su sitio web, pero puedes encontrar rápidamente la versión gratuita en Download.com.

CHarmon
fuente